2012/09/27

Vulnerabilidade das Chamadas Automáticas Afecta Mais Androids


No outro dia falamos de uma vulnerabilidade que possibilitava que se fizesse um reset de fábrica a vários smartphones da Samsung, bastando para isso que visitassem uma página web.

Na origem desta vulnerabilidade estava a possibilidade de se iniciar automaticamente uma chamada telefónica a partir de código HTML (e não só), e que quando usada para marcar códigos USSD que permitem efectuar todo o tipo de operações... abiram a porta a esses abusos (fazer reset, e até bloquear o cartão SIM).

Mas esta funcionalidade da marcação automática não está limitada apenas aos Samsung com TouchWiz, e ocorre também noutros dispositivos Android, que assim ficam expostos a idêntico risco.

Equipamentos como o HTC One X (HTC Sense 4.0 e Android 4.0.3), Motorola Defy (Cyanogen Mod 7 e Android 2.3.5), HTC Desire (Android 2.2), alguns Sony Xperia, são alguns dos equipamentos já confirmados como sofrendo do mesmo mal - sendo previsível que muitos outros estejam em risco.

Para verificares se o teu Android está a salvo, podes visitar esta página.

Se o teu smartphone te mostrar o ecrã de marcação com um estranho código, mas aguardar pela tua confirmação para "fazer a chamada", então estás a salvo (desde que não efectues a chamada, claro!). Mas se o teu smartphone exibir automaticamente o IMEI... é mau sinal. Quer dizer que se fosse um código "malicioso", poderia ter feito reset ao teu equipamento - ou qualquer outra das coisas que estes códigos USSD permitem fazer.

O Android já corrigiu esta vulnerabilidade há alguns meses, mas no caso de equipamentos antigos, poderão nunca vir a receber uma actualização que corrija este problema.


Mas felizmente, isso é algo que pode ser resolvido desde já, em qualquer Android, bastando para isso que instales outra app de marcação de números, como este Dialer One ou o Call Confirm (como sugerido pelo nosso leitor Vitor nos comentários).

Nem sequer precisas utilizá-lo, já que o simples facto de um site tentar usar esta vulnerabilidade irá fazer surgir a habitual caixa de escolha da App a utilizar, e assim saberão que algo de estranho se passa - e cancelarem o processo antes que faça estragos.

3 comentários:

  1. O meu HTC Explorer sofre deste problema :/ O que me deixa de certa forma mais descansado é que não uso o browser com muita frequência, além de visitar meia dúzia de sites de confiança.
    Mas isto porque o meu ecrã é muito pequeno. Se fosse maiorzito de certeza que dava mais uso e ficava mesmo propício a esta falha.
    Mas desde que tenho o telemóvel este ainda não foi atualizado uma vez sequer pela HTC. Mas já seria de esperar infelizmente.

    ResponderEliminar
  2. Uma outra sugestão: eu uso há alguns anos esta app: Call Confirm (https://play.google.com/store/apps/details?id=net.nanabit.callconfirm) que pergunta se queremos mesmo fazer a chamada. Já me ajudou a não fazer chamadas por engano (é demasiado fácil ligar para um contacto sem querer) e também resolve este problema.

    ResponderEliminar
  3. Sapo a5 (CM7) também vulnerável :|
    Já tem o Dialer One, mas essa do Call Confirm pode dar mais jeito, obrigado.

    ResponderEliminar